AWS 使用 AWS Transit Gateway Connect 延伸VRFs到 - AWS 方案指引
Summary先決條件和限制架構工具史詩相關資源附件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 使用 AWS Transit Gateway Connect 延伸VRFs到

由 Adam Till (AWS)、Yashar Araghi ()AWS、Vikas Dewangan (AWS) 和 Mohideen HajaMohideen (AWS) 建立

環境:PoC 或試行

技術:基礎設施;聯網

AWS 服務:AWSDirect Connect;AWSTransit Gateway

Summary

虛擬路由和轉送 (VRF) 是傳統網路的一項功能。它以路由表的形式使用隔離的邏輯路由網域,來分隔相同實體基礎設施內的網路流量。您可以設定 AWS Transit Gateway,以便在將內部部署網路連線至 時支援VRF隔離AWS。此模式使用範例架構,將內部部署連接到VRFs不同的傳輸閘道路由表。

此模式使用 AWS Direct Connect 中的傳輸虛擬介面 (VIFs) 和傳輸閘道連線附件來擴展 VRFs。傳輸VIF用於存取與 Direct Connect 閘道相關聯的一或多個 Amazon VPC 傳輸閘道。傳輸閘道連線附件會將傳輸閘道與在 中執行的第三方虛擬設備連線VPC。傳輸閘道連線連接支援一般路由封裝 (GRE) 通道通訊協定以實現高效能,並支援動態路由的邊界閘道通訊協定 (BGP)。

此模式中所述的方法具有下列優點:

  • 使用 Transit Gateway Connect,您可以向 Transit Gateway Connect 對等發佈最多 1,000 個路由,並從中接收最多 5,000 個路由。使用 Direct Connect 傳輸VIF功能而不使用 Transit Gateway Connect,每個傳輸閘道限制為 20 個字首。

  • 您可以維護流量隔離,並使用 Transit Gateway Connect 在 上提供託管服務AWS,無論您的客戶使用的 IP 地址結構描述為何。

  • VRF 流量不需要周遊公有虛擬介面。這可以更輕鬆地遵守許多組織中的合規和安全要求。

  • 每個GRE通道最多支援 5 Gbps,每個傳輸閘道連線連接最多可有四個GRE通道。這比許多其他連線類型更快,例如支援高達 1.25 Gbps 的AWS Site-to-SiteVPN連線。

先決條件和限制

先決條件

限制

架構

目標架構

下列範例架構提供可重複使用的解決方案,以VIFs使用傳輸閘道連線附件部署傳輸。此架構使用多個 Direct Connect 位置提供彈性。如需詳細資訊,請參閱 Direct Connect 文件中的最大彈性。內部部署網路具有生產、QA 和開發VRFs,這些網路使用專用路由表擴展至 AWS並加以隔離。

使用 AWS Direct Connect 和 AWS Transit Gateway 資源擴展的架構圖 VRFs

在 AWS 環境中,兩個帳戶專用於擴展 VRFs:Direct Connect 帳戶網路中樞帳戶。Direct Connect 帳戶包含每個路由器VIFs的連線和傳輸。您可以從 VIFs Direct Connect 帳戶建立傳輸,但將其部署到網路中樞帳戶,以便將其與網路中樞帳戶中的 Direct Connect 閘道建立關聯。網路中樞帳戶包含 Direct Connect 閘道和傳輸閘道。AWS 資源的連線方式如下:

  1. Transit 使用 Direct Connect 帳戶中的 AWS Direct Connect VIFs來連接 Direct Connect 位置中的路由器。

  2. 傳輸VIF會將 Direct Connect 與網路中樞帳戶中的 Direct Connect 閘道連線。

  3. 傳輸閘道關聯會將 Direct Connect 閘道與網路中樞帳戶中的傳輸閘道連線。

  4. 傳輸閘道連線附件會將傳輸閘道與生產、QA 和開發帳戶中VPCs的 連線。

傳輸VIF架構

下圖顯示傳輸 的組態詳細資訊VIFs。此範例架構VLAN使用通道來源的 ,但您也可以使用回路。

路由器與 AWS Direct Connect 之間傳輸VIF連線的組態詳細資訊

以下是傳輸 的組態詳細資訊,例如自主系統編號 (ASNs)VIFs。

資源

項目

Detail

router-01

ASN

65534

路由器-02

ASN

65534

router-03

ASN

65534

路由器-04

ASN

65534

Direct Connect 閘道

ASN

64601

Transit Gateway

ASN

64600

CIDR 區塊

10.100.254.0/24

傳輸閘道連線架構

下圖和資料表說明如何VRF透過傳輸閘道連線連接來設定單一 。對於其他 VRFs,請指派唯一的通道 IDs、傳輸閘道 GRE IP 地址和BGP內部CIDR區塊。對等 GRE IP 地址符合來自傳輸 的路由器對等 IP 地址VIF。

路由器與傳輸閘道之間GRE通道的組態詳細資訊

下表包含路由器組態詳細資訊。

路由器

通道

IP 地址

來源

目的地

router-01

通道 1

169.254.101.17

VLAN 60

169.254.100.1

10.100.254.1

路由器-02

通道 11

169.254.101.81

VLAN 61

169.254.100.5

10.100.254.11

router-03

通道 21

169.254.101.145

VLAN 62

169.254.100.9

10.100.254.21

路由器-04

通道 31

169.254.101.209

VLAN 63

169.254.100.13

10.100.254.31

下表包含傳輸閘道組態詳細資訊。

通道

傳輸閘道 GRE IP 地址

對等 GREIP 地址

BGP CIDR區塊內部

通道 1

10.100.254.1

VLAN 60

169.254.100.1

169.254.101.16/29

通道 11

10.100.254.11

VLAN 61

169.254.100.5

169.254.101.80/29

通道 21

10.100.254.21

VLAN 62

169.254.100.9

169.254.101.144/29

通道 31

10.100.254.31

VLAN 63

169.254.100.13

169.254.101.208/29

部署

Epics 章節說明如何在多個客戶路由器VRF之間部署 單一 的範例組態。步驟 1–5 完成後,您可以使用步驟 6–7 來建立新的傳輸閘道連線附件VRF,每個要延伸到 的新項目都可以使用步驟 6–7AWS:

  1. 建立傳輸閘道。

  2. 為每個 建立 Transit Gateway 路由表VRF。

  3. 建立傳輸虛擬介面。

  4. 建立 Direct Connect 閘道。

  5. 使用允許的字首建立 Direct Connect 閘道虛擬介面和閘道關聯。

  6. 建立傳輸閘道連線連接。

  7. 建立 Transit Gateway Connect 對等。

  8. 將傳輸閘道連線連接與路由表建立關聯。

  9. 向路由器公告路由。

工具

AWS 服務

  • AWS Direct Connect 透過標準乙太網路光纖纜線,將內部網路連結至 Direct Connect 位置。透過此連線,您可以直接建立與公有AWS服務的虛擬介面,同時略過網路路徑中的網際網路服務供應商。

  • AWS Transit Gateway 是中央中樞,可連接虛擬私有雲端 (VPCs) 和內部部署網路。

  • Amazon Virtual Private Cloud (Amazon VPC) 可協助您將AWS資源啟動至您定義的虛擬網路。此虛擬網路類似於傳統網路,您會在自己的資料中心中運作,並享有使用 可擴展基礎設施的好處AWS。

史詩

任務描述所需的技能

建立自訂架構圖。

  1. 附件區段中,下載圖表範本。

  2. 在 Microsoft Office 中開啟附加的圖表 PowerPoint。

  3. 架構概觀投影片上,自訂您環境的架構圖表。識別需要擴展到您的AWS環境VRFs的內部部署。

  4. 傳輸VIF投影片上,自訂架構圖表。識別路由器、Direct Connect 閘道和傳輸閘道的 AS 編號。識別傳輸結束時的 IP 地址VIF。

  5. Transit Gateway Connect 投影片上,為每個 自訂架構圖VRF。識別設定路由器和 Transit Gateway Connect 對等伺服器所需的所有必要 IP 地址。

雲端架構師、網路管理員
任務描述所需的技能

建立傳輸閘道。

  1. 登入網路中樞帳戶。

  2. 請遵循建立傳輸閘道 中的指示。對於此模式,請注意下列事項:

    • 對於 Amazon 端自治系統編號 (ASN),請輸入唯一的 ASN。在此範例中, ASN為 64600

    • 選取DNS支援

    • 對於此範例架構,不需要VPNECMP支援 預設路由表關聯 預設路由表探查 多點傳送支援

    • 對於傳輸閘道CIDR區塊 ,輸入傳輸閘道的IPv4CIDR區塊。在此範例中, CIDR區塊為 10.100.254.0/24

網路管理員、雲端架構師

建立傳輸閘道路由表。

請遵循建立傳輸閘道路由表 中的指示。對於此模式,請注意下列事項:

  • 針對名稱標籤 ,提供傳輸閘道路由表的名稱。我們建議您使用與 對應的名稱VRF,例如 routetable-dev-vrf

  • 針對傳輸閘道 ID ,選擇您先前建立的傳輸閘道。

雲端架構師、網路管理員
任務描述所需的技能

建立傳輸虛擬介面。

  1. 登入 Direct Connect 帳戶。

  2. 請遵循建立傳輸虛擬介面至 Direct Connect 閘道 中的指示。對於此模式,請注意下列事項:

    • 虛擬介面名稱 中,輸入傳輸 的名稱VIF。我們建議您使用對應至路由器的名稱,例如 transit-vif-router01

    • 針對連線 ,選取路由器,例如 router-01

    • 對於虛擬介面擁有者 ,輸入網路中樞帳戶的帳戶 ID。如需指示,請參閱檢視AWS您的帳戶 ID

    • 對於 Direct Connect 閘道 ,請勿進行任何選擇。您可以在後續步驟中連接 Direct Connect 閘道。

    • 對於 VLAN,輸入路由器VLAN的 ,例如 60

    • 對於 BGP ASN,輸入路由器ASN的 ,例如 65534

    • Additional settings (其他設定) 之下,執行下列動作:

      • 選擇 IPv4

      • 針對路由器對等 IP ,輸入路由器對等 IP 地址,例如 169.254.100.1

      • 對於 Amazon 路由器對等 IP。輸入 Amazon 路由器對等 IP,例如 169.254.100.2

      • 對於BGP身分驗證金鑰 ,需要密碼。如果保留空白, 會AWS建立只能在此帳戶中存取的金鑰。

  3. 重複這些指示,VIFs為 建立所有傳輸VRF。

雲端架構師、網路管理員
任務描述所需的技能

建立一個 Direct Connect 閘道。

  1. 登入網路中樞帳戶。

  2. 請遵循建立 Direct Connect 閘道 中的指示。對於此模式,請注意下列事項:

    • 對於 Amazon 端 ASN,輸入 Direct Connect 閘道ASN的 ,例如 64601

    • 請勿選擇虛擬私有閘道。

雲端架構師、網路管理員

將 Direct Connect 閘道連接至傳輸 VIFs。

  1. 在網路中樞帳戶中,開啟 https://console.aws.amazon.com/directconnect/v2/ 的 AWS Direct Connect 主控台。

  2. 在導覽窗格中,選擇 Virtual Interfaces (虛擬介面)。

  3. 選取新的傳輸 VIF,然後選擇接受

  4. 選擇您建立的 Direct Connect 閘道。

  5. 針對每個傳輸 重複這些指示VIF。

雲端架構師、網路管理員

使用允許的字首建立 Direct Connect 閘道關聯。

在網路中樞帳戶中,遵循 中的指示來建立傳輸閘道的關聯。請注意此模式的下列項目:

  • 針對閘道 ,選擇您先前建立的傳輸閘道。

  • 對於允許的字首 ,輸入指派給傳輸閘道的CIDR區塊,例如 10.100.254.0/24

建立此關聯會自動建立具有 Direct Connect Gateway 資源類型的 Transit Gateway 附件。此附件不需要與傳輸閘道路由表相關聯。

雲端架構師、網路管理員

建立傳輸閘道連線連接。

  1. 在網路中樞帳戶中,開啟位於 的 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇傳輸閘道連接

  3. 選擇 Create transit gateway attachment (建立傳輸閘道連接)。

  4. 針對名稱標籤 ,輸入附件的名稱。我們建議您使用與 對應的名稱VRF,例如 PROD-VRF

  5. 針對傳輸閘道 ID ,選擇您先前建立的傳輸閘道。

  6. Attachment type (連接類型) 中,選擇 Connect (連線)

  7. 針對傳輸連接 ID ,選擇您先前建立的 Direct Connect 閘道。

  8. 選擇 Create transit gateway attachment (建立傳輸閘道連接)。

  9. 針對您要擴展VRF的每個項目重複此步驟。

雲端架構師、網路管理員

建立 Transit Gateway Connect 對等。

  1. 在網路中樞帳戶中,遵循建立 Transit Gateway Connect 對等 (GRE 通道) 中的指示。請注意此模式的下列項目:

    • 針對名稱標籤 ,輸入 Transit Gateway Connect 對等項的名稱。建議您使用與路由器對應的名稱,例如 connectpeer-router01

    • 對於傳輸閘道GRE地址 ,輸入來自傳輸閘道CIDR區塊的指派 IP 地址,例如 10.100.254.1

    • 對於對等GRE地址 ,輸入指派給在路由器上為傳輸VLAN建立的 的 IP 地址VIF,例如 169.254.100.1。如果AWS可以到達 IP 地址,您可以使用 VLAN或 Loopback 等任何介面做為對等GRE地址。

    • 針對BGP內部CIDR區塊 (IPv4),輸入BGP內部CIDR區塊 IP 地址,例如 169.254.101.16/29

    • 對於對等 ASN,輸入路由器ASN的 ,例如 65534

  2. 重複這些指示,為每個路由器建立GRE通道。

相關資源

AWS 文件

AWS 部落格文章

附件

若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip